Под маской фейковых магазинов: как BogusBazaar похитила данные 850 000 карт

[Artifact]

Экономия покупателей обернулась потерей данных и денег.
Мошенническая сеть BogusBazaar за последние 3 года оформила более миллиона заказов на фиктивных интернет-площадках, общий объем заказов которых превысил $50 млн. О новой кампании https://www.srlabs.de/blog-post/bogusbazaarSRLabs в своем отчете.
Фейковые магазины, используя просроченные домены с хорошей репутацией в Google, привлекали жертв под видом выгодных предложений на обувь и одежду, но в итоге похищали данные платежных карт.
Более 850 000 покупателей, в основном из Западной Европы, Австралии и США, уже пострадали от этой схемы, а в Китае, где предположительно находится основная база мошенников, жертв практически нет. Сеть включает в себя более 75 000 доменов, из которых около 22 500 были активны по состоянию на апрель 2024 года.
SRLabs отмечает, что, хотя каждый случай мошенничества имел относительно небольшой «объем», организованность и распространенность операции позволили злоумышленникам оставаться вне поля зрения правоохранительных органов.
Мошенники использовали два основных метода преступления: сбор данных кредитных карт на поддельных страницах оплаты и продажа несуществующего или контрафактного товара через фейковые платежные системы, имитирующие PayPal и Stripe. Клиенты, сделавшие покупку через поддельный сервис, не получали ничего или, в лучшем случае, контрафактные товары. Мошенники также использовали поддельные платежные страницы, которые можно было быстро заменять на новые при обнаружении мошенничества.

Товары в фейковых интернет-магазинах
Организационная структура BogusBazaar напоминает модель «инфраструктура как услуга» (Infrastructure-as-a-Service, IaaS), где главная команда отвечает за управление инфраструктурой, а децентрализованная сеть партнеров управляет мошенническими магазинами.
Процесс создания новых сайтов максимально автоматизирован. Большинство серверов BogusBazaar располагаются в США и используют защиту Cloudflare. Один сервер может обслуживать до 500 интернет-магазинов, работающих на WordPress с плагином WooCommerce.
Аналитики из SRLabs поделились своими выводами с правоохранительными органами и соответствующими интернет-провайдерами. Некоторые из поддельных магазинов уже отключены, но оценивается, что десятки тысяч сайтов все еще функционируют.